|
◆ DHCPスヌーピングとは
DHCPスヌーピングは、DHCPサーバとDHCPクライアントでやりとりする「DHCP要求とDHCP応答」を
スヌーピング(のぞき見)することで、DHCPサーバのなりすましや、DHCPサーバへの攻撃を防げます。
DHCPスヌーピングの機能を有効化したスイッチでは、以下の2種類のインターフェースを定義します。
| 定義するインターフェース |
説明 |
| 信頼できるポート(trusted) |
・ DHCPサーバからのトラフィックを受信するポート
・ すべてのDHCPメッセージの送信元になれるポート |
| 信頼できないポート(untrusted) |
・ DHCPクライアントからのトラフィックを受信するポート
・ DHCPクライアントからのDHCP要求の送信元にのみなれるポート |
つまり、DHCPサーバからトラフィックが着信してくるポートのみを「trusted」としておけば、その他の
untrustedポートに「正規DHCPクライアント」を接続しても「不正DHCPクライアント」が接続されても、
正規DHCPクライアントは正常にDHCPのやり取りができて、不正DHCPクライアントが不正なDHCP応答
パケットを送信したとしても該当ポートでパケットは破棄されてDHCPスプーフィングの心配はありません。
DHCPスヌーピングではスヌーピングにより、DHCPクライアントのMACアドレス、IPアドレス、リース
バインディングタイプ、VLAN、スイッチのポートから構成されるバインディングテーブルを構築します。
スイッチが「Untrusted」ポートでパケットを受信し、そのポートが属するVLANでDHCPスヌーピングが
有効な場合、スイッチは送信元MACアドレスとDHCPクライアントのハードウェアアドレスを比較します。
アドレスが一致した場合はスイッチはパケットを転送して、アドレスが一致しない場合はドロップします。
◆ DHCP Option 82
DHCPスヌーピングだけでなくDHCP Option82が有効化されたスイッチでは、DHCPクライアントからの
DHCP DiscoverメッセージをDHCPサーバに転送する前に「スイッチのMACアドレス、スイッチのポート
番号」情報をパケットに追加するので、同じスイッチに接続している複数のLANホストを一意に識別可能。
|